搜索
服务支持

服务支持

/
/
/
/
如何排查内网ARP攻击造成的网络掉线

服务支持

全部分类

技术文库

如何排查内网ARP攻击造成的网络掉线

  • 分类:技术文库
  • 作者:
  • 来源:
  • 发布时间:2019-06-06
  • 访问量:65

【概要描述】ARP攻击危害:众说周知,ARP攻击变得日益猖狂,局域网内频繁性区域或整体掉线、IP地址冲突;网速时快时慢。极其不稳定,严重影响了网络的正常通讯。一、首先诊断是否为ARP病毒攻击1、当发现上网明显变慢,或者突然掉线时,我们可以用arp-a命令来检查ARP表:(点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮,在窗口中输入“arp-a”命令)如果发现网关的MAC地址发生了改变,或者发现

如何排查内网ARP攻击造成的网络掉线

【概要描述】ARP攻击危害:众说周知,ARP攻击变得日益猖狂,局域网内频繁性区域或整体掉线、IP地址冲突;网速时快时慢。极其不稳定,严重影响了网络的正常通讯。一、首先诊断是否为ARP病毒攻击1、当发现上网明显变慢,或者突然掉线时,我们可以用arp-a命令来检查ARP表:(点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮,在窗口中输入“arp-a”命令)如果发现网关的MAC地址发生了改变,或者发现

  • 分类:技术文库
  • 作者:
  • 来源:
  • 发布时间:2019-06-06 09:52
  • 访问量:65
详情

ARP攻击危害:众说周知,ARP攻击变得日益猖狂,局域网内频繁性区域或整体掉线、IP地址冲突;网速时快时慢。极其不稳定,严重影响了网络的正常通讯。
一、首先诊断是否为ARP病毒攻击
1、当发现上网明显变慢,或者突然掉线时,我们可以用arp -a命令来检查ARP表:(点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮,在窗口中输入“arp -a”命令)如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。这时可以通过”arp -d“清除arp列表,重新访问。

检查ARP列表

2、利用ARP防火墙类软件(如:360ARP防火墙、AntiARPSniffer等)(详细使用略)。
3、WIN7(Vista)系统中命令有所不同,具体情况可以参考[257] 如何解决ARP问题造成WIN7系统不能上网。
二、找出ARP病毒主机
1、用“arp -d”命令,只能临时解决上网问题,要从根本上解决问题,就得找到病毒主机。通过上面的arp -a命令,可以判定改变了的网关MAC地址或多个IP指向的物理地址,就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢,windows中有ipconfig /all命令查看每台的信息,但如果电脑数目多话,一台台查下去不是办法,因此可以下载一个叫“NBTSCAN”的软件,它可以扫描到PC的真实IP地址和MAC地址。

2、如果手头一下没这个软件怎么办呢?这时也可在客户机运行路由跟踪命令如:tracert -d www.163.com,马上就发现第一条不是网关机的内网ip,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。

 

查找访问外网路径

        当然找到了IP之后,接下来是要找到这个IP具体所对应的机子了,如果你每台电脑编了号,并使用固定IP,IP的设置也有规律的话,那么就很快找到了。但如果不是上面这种情况,IP设置又无规律,或者IP是动态获取的那该怎么办呢?难道还是要一个个去查?非也!你可以这样:把一台机器的IP地址设置成与作祟机相同的相同,然后造成IP地址冲突,使中毒主机报警然后找到这个主机。
三、处理病毒主机
1、用杀毒软件查毒,杀毒。

2、建议重装系统,一了百了。(当然你应注意除系统盘外其他盘有无病毒)
四、如何防范ARP病毒攻击
1、IP/MAC双向绑定
由于ARP病毒的种种网络特性,可以采用一些技术手段进行网络中ARP病毒欺骗数据包免疫。即便网络中有ARP中毒电脑,在发送欺骗的ARP数据包,其它电脑也不会修改自身的ARP缓存表,数据包始终发送给正确的网关,普遍使用的一种方式是“双向绑定法”。双向绑定法,顾名思义,就是要在两端绑定IP-MAC地址,其中一端是在路由器中,绑定下面局域网内部计算机的IP和MAC地址,具体步骤请参考:
[273] ARP问题解决办法之双向绑定
2、作为网络管理员,应该充分利用一些工具软件,备一些常用的工具,就ARP而言,推荐在手头准备这样几个软件:
(1)飞鱼星网关智能绑定精灵(http://www1.adslr.com/down/down_content.aspx?classid=19&pid=114&id=180),一键绑定。

(2)“AntiARPSniffer”(使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包,并能查找攻击主机的IP及MAC地址)。

(3)“NBTSCAN”(NBTSCAN可以取到PC的真实IP地址和MAC地址,利用它可以知道局域网内每台IP对应的MAC地址)

(4)“网络执法官”(一款局域网管理辅助软件,采用网络底层协议,能穿透各客户端防火墙对网络中的每一台主机、交换机等配有IP的网络设备进行监控;采用网卡号(MAC)识别用户,主要功能是依据管理员为各主机限定的权限,实时监控整个局域网,并自动对非法用户进行管理,可将非法用户与网络中某些主机或整个网络隔离,而且无论局域网中的主机运行何种防火墙,都不能逃避监控,也不会引发防火墙警告,提高了网络安全性)

3、定时检查局域网病毒,对机器进行病毒扫描,平时给系统安装好补丁程序,最好是局域网内每台电脑保证有杀毒软件(可升级)

4、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。

5、建议对局域网的每一台电脑尽量作用固定IP,路由器不启用DHCP,对给网内的每一台电脑编一个号,每一个号对应一个唯一的IP,这样有利用以后故障的查询也方便管理。并利用“NBTSCAN”软件查出每一IP对应的MAC地址,建立一个“电脑编号-IP地址-MAC地址”一一对应的数据库。

扫二维码用手机看

版权所有©成都飞鱼星科技股份有限公司  蜀ICP备05006150号